Καθώς ο ψηφιακός μας κόσμος εξελίσσεται και οι καθημερινές μας δραστηριότητες διευκολύνονται ολοένα και περισσότερο από την τεχνολογία, οι ευκαιρίες πρόσβασης σε εμπιστευτικές πληροφορίες, κλοπής ταυτοτήτων και καταχρηστικών κεφαλαίων για τους κυβερνοεγκληματίες αυξάνονται επίσης εκθετικά.
Τα στελέχη των χρηματοπιστωτικών ιδρυμάτων και το τεχνικό προσωπικό τους πρέπει να είναι ιδιαίτερα προσεκτικοί στη διατήρηση της ασφάλειας και της ιδιωτικότητας των δεδομένων του κατόχου τους. Ο κλάδος των χρηματοπιστωτικών υπηρεσιών ήταν ο κλάδος που πλήττεται περισσότερο από το έγκλημα στον κυβερνοχώρο τα τελευταία χρόνια. Οι καταναλωτές ανέφεραν επίσης αύξηση 400% σε κλοπές ταυτοποίησης από το 2017 έως το 2018, ενώ περίπου 60 εκατομμύρια καταναλωτές επηρεάστηκαν από κάποια μορφή κλοπής ταυτότητας το 2018. Οι ειδήσεις είναι ακόμα χειρότερες για το 2019, καθώς μέχρι στιγμής αυτό είναι το χειρότερο έτος για παραβιάσεις δεδομένων. Μόνο τους πρώτους έξι μήνες του 2019, εκτέθηκαν περισσότερα από τέσσερα δισεκατομμύρια προσωπικά αρχεία.
Δεν υπάρχει αμφιβολία ότι οι τακτικές των εγκληματιών του κυβερνοχώρου εξελίσσονται ταχύτερα από τις υπάρχουσες τεχνολογίες για την πρόληψή τους. Ευτυχώς, υπάρχουν μέτρα που μπορούν να λάβουν οι τράπεζες για να εξασφαλίσουν το υψηλότερο επίπεδο ασφάλειας δεδομένων και ιδιωτικότητας των δεδομένων του κατόχου του λογαριασμού.
Τα κοινοτικά χρηματοπιστωτικά ιδρύματα θα πρέπει να διασφαλίζουν ότι οι πολιτικές ασφαλείας τους περιλαμβάνουν αυτά τα πέντε βασικά στοιχεία:
1.Η ασφάλεια των δεδομένων πρέπει να επικεντρώνεται σε όλη την εταιρεία
Πριν από χρόνια, πριν η έννοια της ασφάλειας στον κυβερνοχώρο γίνει μια παντοδύναμη εταιρική ανησυχία, αυτό το είδος ευθύνης έπρεπε να αντιμετωπιστεί εξ ολοκλήρου από το τμήμα πληροφορικής. Όμως, καθώς η τεχνολογική εξάρτηση έχει διαπεράσει σχεδόν κάθε πτυχή κάθε κλάδου, τα συστήματα έχουν γίνει πιο cloud-based και η πρόσβαση των εργαζομένων από απόσταση έχει γίνει πιο διαδεδομένη. Οι δυνατότητες διείσδυσης ευαίσθητων δεδομένων της εταιρείας αυξήθηκαν αναλογικά.
Ποια είναι η μεγαλύτερη ευπάθεια που αντιμετωπίζουν οι επιχειρήσεις παροχής χρηματοπιστωτικών υπηρεσιών; Σύμφωνα με τον Δείκτη IBM Cyber Security Intelligence, ένα επιβλητικό 95% επιτυχημένων επιθέσεων στον κυβερνοχώρο προκαλείται από ανθρώπινο σφάλμα. Οι κυβερνοεγκληματίες συχνά στοχεύουν στο πιο αδύναμο σημείο της ασφάλειας των χρηματοπιστωτικών επιχειρήσεων: τους υπαλλήλους τους. Μέσω της έλλειψης κατάλληλης εκπαίδευσης και επικοινωνίας των πολιτικών απορρήτου εταιρικών δεδομένων, ένα απλό λάθος, όπως η εγκατάσταση κακόβουλου λογισμικού ή η απάντηση σε ένα phishing email, μπορεί να οδηγήσει σε καταστροφικές παραβιάσεις δεδομένων.
Η τεχνολογία από μόνη της δεν μπορεί να αποτρέψει τις επιθέσεις στον κυβερνοχώρο. Κάθε χρηματοπιστωτικός οργανισμός πρέπει να κατασκευάσει ένα ανθρώπινο τείχος προστασίας μέσω της εκπαίδευσης των εργαζομένων σε όλα τα επίπεδα της εταιρείας, να κοινοποιήσει σαφώς τις πολιτικές δεδομένων και να επικεκτρωθεί στις βέλτιστες πρακτικές για την ασφάλεια των δεδομένων, υπό την ηγεσία του κάθε διευθυντή τμήματος.
2.Επιβεβαιώστε τα πρωτόκολλα ασφαλείας όλων των μερών στην αλυσίδα δεδομένων σας
Οι τράπεζες και τα πιστωτικά ιδρύματα αντιμετωπίζουν μία από τις μεγαλύτερες προκλήσεις στο περιβάλλον ασφάλειας δεδομένων, διότι μια σοβαρή παραβίαση μπορεί να θέσει σε κίνδυνο τις πληροφορίες λογαριασμών των κατόχων λογαριασμών, τα προσωπικά στοιχεία και τα στοιχεία της χρεωστικής κάρτας. Αυτός είναι ο λόγος για τον οποίο είναι απαραίτητο να εκτελέσετε τη δέουσα επιμέλεια ασφάλειας σε όλους τους συμμετέχοντες στην αλυσίδα σας δεδομένων: τους συνεργάτες σας, τους προμηθευτές σας και τους πωλητές των προμηθευτών σας – ουσιαστικά οποιοδήποτε μέρος που θα λαμβάνει εμπιστευτικές πληροφορίες από το τείχος προστασίας σας.
Ενώ υπήρξαν πολλές μεγάλες, δημοσιευμένες παραβιάσεις δεδομένων τα τελευταία χρόνια, ένα από τα μεγαλύτερα παραδείγματα σφαλμάτων που σημειώθηκαν στην αλυσίδα ήταν η παραβίαση της Capital One τον Ιούλιο του 2019, που εξέθεσε τις προσωπικές πληροφορίες 100 εκατομμυρίων πελατών. Ο κατηγορούμενος hacker είχε προηγουμένως εργαστεί ως μηχανικός λογισμικού τεχνολογίας εταιρειών για τις υπηρεσίες Web Amazon (AMZN) Web, σύμφωνα με το Υπουργείο Δικαιοσύνης. Είναι εξαιρετικά σημαντικό, να εξετάζετε τους τρίτους παρόχους που θα έχουν πρόσβαση στα εμπιστευτικά σας δεδομένα, και ότι θα τεθούν σε εφαρμογή όλα τα εύλογα μέτρα ασφαλείας και οι πρακτικές που θα περιορίσουν τις πιθανότητες παραβίασης των δεδομένων.
Ευτυχώς, υπάρχει μια βέλτιστη πρακτική για τη μείωση των κινδύνων ασφάλειας τρίτων: ζητώντας και αναθεωρώντας την Έκθεση SOC Τύπου 2 κάθε εταίρου και πωλητή. Αυτή η αναφορά παραθέτει τους οργανωτικούς ελέγχους, θέτει παραμέτρους γύρω τους και ελέγχεται τουλάχιστον μία φορά το χρόνο. Οποιοσδήποτε πωλητής επεξεργάζεται τις ευαίσθητες πληροφορίες των πελατών ή των μελών σας θα πρέπει να καταρτίσει έκθεση SOC 2.
Η αναφορά SOC 2 συμβάλλει στη δημιουργία εμπιστοσύνης και καθορίζει τα credentials κάθε μέρους για την παροχή χρηματοπιστωτικών υπηρεσιών. Αποδεικνύουν ότι οι εσωτερικοί έλεγχοι τους ανταποκρίνονται στις βέλτιστες πρακτικές ασφαλείας, γνωστές και ως αρχές αξιόπιστων υπηρεσιών (TSP). Το Αμερικανικό Ινστιτούτο των CPA (AICPA) ορίζει αυτά τα πέντε TSP ως:
- Ασφάλεια
- Διαθεσιμότητα
- Ακεραιότητα διαδικασίας
- Εμπιστευτικότητα
- Απόρρητο
- Ελέγξτε τα πρωτόκολλα μεταφοράς αρχείων σας για να αποφύγετε την επανεκπομπή των χρεωστικών καρτών
Οι πληροφορίες που σχετίζονται με τις χρεωστικές κάρτες των κατόχων λογαριασμού σας μπορεί να είναι ιδιαίτερα καταστροφικές εάν εκτεθούν. Σήμερα, είναι συνηθισμένο να μπορούν οι καταναλωτές να λαμβάνουν εκ νέου μηνύματα χρεωστικής κάρτας με την σύντομη εξήγηση ότι η κάρτα τους μπορεί να έχει «παραβιαστεί» χωρίς περισσότερες λεπτομέρειες. Ο συναγερμός είναι πολύ σημαντικός, καθώς οι περισσότεροι έχουμε ορίσει να πληρώνονται αυτόματα πολλοί λογαριασμοί. Έχουμε χρεωστικές κάρτες συνδεδεμένες με τις μηνιαίες πληρωμές λογαριασμών μας, τους λογαριασμούς λιανικής πώλησης στο Amazon, Target, eBay, κλπ., Είναι μια τεράστια ταλαιπωρία για τους καταναλωτές να ενημερώνουν όλα τα προφίλ τους και η πράξη της επανάληψης μαζικών ποσών καρτών αποτελεί τεράστιο οικονομικό βάρος για τα χρηματοπιστωτικά ίδρυματα.
Οι απρόσεκτες μεταφορές αρχείων αποτελούν κύρια αιτία παραβίασης των δεδομένων. Ελέγξτε προσεκτικά τα πρωτόκολλα μεταφοράς αρχείων του ιδρύματος σας. Όταν μεταφέρονται δεδομένα εκτός του τείχους προστασίας σας, βεβαιωθείτε ότι οι υπάλληλοί σας χρησιμοποιούν ασφαλή πρωτόκολλα μεταφοράς αρχείων και κρυπτογραφούν τα δεδομένα. Τα δεδομένα πρέπει να κρυπτογραφούνται όχι μόνο κατά τη διάρκεια της διαμετακόμισης αλλά και σε κατάσταση ηρεμίας, προκειμένου να αποφευχθεί η ύπαρξη ασφαλών και ευάλωτων αριθμών λογαριασμού, φορολογικών αναγνωριστικών ή άλλων ευαίσθητων δεδομένων.
- Εφαρμογή καθορισμένων κανόνων, ρόλων και ευθυνών για δεδομένα πελατών
Πώς χειρίζεται η τραπεζική ή πιστωτική σας ένωση ευαίσθητα δεδομένα πελατών; Ποιος έχει πρόσβαση σε αυτό; Και ποιο είναι το πρωτόκολλο ασφαλείας σας; Με κάθε εταιρεία που χειρίζεται οικονομικές πληροφορίες για τους καταναλωτές, οι υπάλληλοι σε κάθε ρόλο πρέπει να συνειδητοποιήσουν ότι τέτοια δεδομένα δεν μπορούν να ληφθούν, να σταλθούν με ηλεκτρονικό ταχυδρομείο ή να αποθηκευτούν σε μια εξωτερική συσκευή. Αυτά τα δεδομένα δεν μπορούν να αφεθούν στα γραφεία ή να εμφανίζονται στις οθόνες υπολογιστών χωρίς επιτήρηση. Η πραγματικότητα είναι ότι οι περισσότερες παραβιάσεις δεδομένων, ενώ προκαλούνται από ανθρώπινο σφάλμα, είναι ακούσιες. Ή, οι υπάλληλοί σας μπορεί να ακολουθούν απόλυτα τα πρωτόκολλα εσωτερικής ασφάλειας, αλλά κάποιος μοιράζεται τα δεδομένα με έναν πωλητή που τα κακομεταχειρίζεται.
Ενώ η βοήθεια για την κατάρτιση και την εκπαίδευση και η πολιτική ασφάλειας για όλη την επιχείρηση είναι ουσιαστικής σημασίας, μία από τις σημαντικότερες διασφαλίσεις για την πρόληψη παραβιάσεων δεδομένων είναι ο περιορισμός της πρόσβασης σε ευαίσθητα δεδομένα. Ορίστε τους ρόλους σας και το επίπεδο πρόσβασης σε διάφορα δεδομένα. Ίσως να έχετε ομάδες εντός της τράπεζας ή της πιστωτικής σας ένωσης, οι οποίες χρειάζονται πρόσβαση για να αναθεωρήσουν ευαίσθητα αρχεία, αλλά μόνο μερικά πολύ έμπειρα άτομα θα πρέπει να αναλάβουν τη μεταφορά και την αποθήκευση τέτοιων δεδομένων.
Είναι επίσης σημαντικό να ελέγχετε περιοδικά τα επίπεδα πρόσβασης σε εμπιστευτικές πληροφορίες και να προσαρμόζετε ανάλογα με τις αλλαγές ρόλων στο χρηματοπιστωτικό σας ίδρυμα.
5.Προτεραιότητα στις ενημερώσεις συστήματος και την εφαρμογή επιδιόρθωσης εφαρμογών
Σε πολλές εταιρείες, η τεχνική εστίαση είναι συχνά επικεντρωμένη στον “νεωτερισμό” – τα νεότερα λειτουργικά συστήματα κυκλοφορούν, νέα προγράμματα, νέα εργαλεία, νέο hardware, κλπ. Και σε αυτόν τον γρήγορο ψηφιακό κόσμο, είναι πολύ δελεαστικό να μετατοπίζουμε τις προτεραιότητες από την κρίσιμη συντήρηση εστιάζοντας στους ήδη υπάρχοντες πόρους αγοράζοντας νέα και συναρπαστικά συστήματα.
Μην αφήνετε την τράπεζά σας ή την πιστωτική σας ένωση να πέσει σε αυτή την παγίδα. Επειδή τα συστήματα αλλάζουν και εξελίσσονται τόσο γρήγορα, πολλά θέματα ευπάθειας προκύπτουν συχνά σε αυτά τα συστήματα και χρειάζονται συνεχή προσοχή και συντήρηση. Οι ενημερώσεις firmware και η επιδιόρθωση του συστήματος πρέπει να τηρούνται με πειθαρχημένο χρονοδιάγραμμα. Βεβαιωθείτε ότι η ομάδα τεχνολογίας σας διαθέτει τους πόρους που χρειάζονται για να αφιερώσει επαρκή χρόνο στη διατήρηση της υποδομής της εταιρείας σας και στη διαχείριση όλων των τρωτών σημείων του συστήματος.
Αυτό που είναι σημαντικό να επισημανθεί είναι ότι οι διορθώσεις του συστήματος πρέπει να εφαρμοστούν έγκαιρα και προληπτικά. Ακόμη και η παραμικρή καθυστέρηση θα μπορούσε να οδηγήσει σε καταστροφικές παραβιάσεις δεδομένων, όπως στην περίπτωση της Equifax. Τον Σεπτέμβριο του 2017, οι hacker είχαν πρόσβαση σε προσωπικά δεδομένα περίπου 143 εκατομμυρίων πελατών της Equifax. Η εξήγηση: ένα ελάττωμα σε ένα εργαλείο λογισμικού που δεν ενημερώθηκε εγκαίρως, αφήνοντας τα δεδομένα της εταιρείας ευάλωτα.
Εάν κάτι τόσο καταστροφικό μπορεί να συμβεί σε μια τόσο μεγάλη εταιρεία, θα μπορούσε σίγουρα να συμβεί σε μια τράπεζα. Η παραβίαση δεδομένων μπορεί να οδηγήσει σε απώλεια εμπιστοσύνης των καταναλωτών, δημόσια κριτική, απώλεια θέσεων εργασίας και καταστροφική επίδραση στα έσοδά σας.
